Les systèmes ICS et SCADA sont-ils notre prochain cauchemar de l’Internet des Objets ?

Après le chaos du mois dernier suite à des attaques DDoS menées grâce à des objets connectés non sécurisés, vous devez certainement vous demander ce qu’il en est de toutes ces choses que nous avons connectées à internet ces 20 dernières années ? Les systèmes qui gèrent les réseaux électriques, les stations d’épuration et les autres infrastructures sensibles sont-ils eux aussi vulnérables que la dernière caméra ou lampe de chevet que vous avez achetée ? Si vous ne vous étiez jamais posés la question, peut être que c’est le cas à présent !

Avant de se plonger dans les détails, commençons avec quelques définitions. SCADA signifie “Supervisory Control And Data Acquisition“, alors qu’ICS est l’abréviation d'”Industrial Control Systems“. L’ICS couvre à peu près tout ce dont vous avez besoin pour surveiller et gérer des usines, des pompes, des pipelines et tout ce qui gravite autour. SCADA est un sous-ensemble qui est associé, en général, à toutes les implantations de systèmes intelligents au sens large.

Lorsque nous faisons référence aux objets connectés, la plupart comprennent des équipements qui font partie de ces catégories, et deviennent ainsi des éléments non sécurisés supplémentaires et potentiellement problématiques. Personnellement, j’espère vraiment me tromper. Certains peuvent s’avérer très dangereux en pouvant causer de graves dommages, cependant les remèdes que nous avons à notre disposition sont plus puissants et heureusement auront une meilleure efficacité.

Parmi les challenges, quand il est question de la sécurité de l’univers des objets connectés, nous avons la grande variété des fabricants, la pression de mise sur le marché et le manque d’expertise en matière de sécurité dans le domaine des semi-conducteurs. C’est un domaine dans lequel l’ICS peut offrir un avantage particulier étant donné qu’il concerne de petits groupes d’entreprises majeures, incluant les très appréciées Honeywell et Siemens, qui peuvent travailler ensemble pour assurer de nouveaux déploiements, tout en garantissant l’intégration des pratiques de sécurité modernes.

Ces petits groupes offrent des avantages pour d’autres raisons également. Contrairement aux webcams piratées, ces fabricants en général répondent à des appels d’offres concernant des contrats importants, afin de fournir leurs équipements à des opérateurs et ils connaissent ainsi exactement ceux qui vont les utiliser.

Lorsqu’une mise à jour critique d’un firmware ou bien un rappel doivent être lancés, ils savent avec précision qui possède la plupart des équipements qui ont été fournis, et peuvent rapidement alerter les entités affectées.

La plupart des risques avec les systèmes ICS proviennent des opérateurs, qui connectent à internet des équipements qui ne sont absolument destinés à être reliés au réseau public. Les fournisseurs d’ICS semblent alerter systématiquement leurs clients, sur le fait de ne pas connecter ces derniers à internet, cependant nous devons nous rendre à l’évidence que ce n’est plus le cas aujourd’hui !

Nous devons prévoir le pire, lors du design, et considérer que les cas extrêmes rencontrés sont des exceptions et non la règle.

Un autre avantage concernant la sécurité des ICS est l’énorme pression économique et contractuelle qui peut être mise par les acheteurs. En effet, les équipements ICS représentent un marché très compétitif et hautement rentable. Si les raffineries et les usines électriques demandent que les systèmes soient sécurisés et adaptables aux futurs besoins, les fournisseurs en question prendront ces prérequis très au sérieux, en y voyant un avantage concurrentiel.

Les systèmes ICS, qui sont déjà déployés, sont malheureusement tristement non sécurisés, et la plupart des équipements ont une durée de vie de 25 ans ou plus. Il s’agit donc du principal challenge dans le futur : les systèmes à venir vont rapidement s’améliorer, mais les anciens systèmes resteront ce qu’ils sont.

A court terme, la sécurisation de ces équipements peut être réalisée par le biais d’un produit tel que Sophos Remote Ethernet Device (RED), qui peut automatiquement chiffrer les données depuis un poste de contrôle centralisé vers un lieu distant, où un capteur ou une valve doit être contrôlé ou surveillé. Sur le long terme, les concepteurs de tels systèmes doivent prendre en considération le fait que de ces derniers seront déployés dans des milieux hostiles.

Une autre option pour ces systèmes de contrôle vieillissants, qui nécessiteront encore des logiciels qui fonctionneront avec Windows 95 ou XP, est la virtualisation. Il faudra néanmoins s’assurer que ces systèmes sont totalement isolés des navigateurs web et du réseau internet classique, tout en contrôlant les messages en entrée/sortie. Cela n’éliminera pas les vulnérabilités, cependant cela aidera à réduire les risques, et à assurer un contrôle raisonnable des systèmes en question.

Les gains en matière d’efficacité en déployant à distance les systèmes de contrôle, et en utilisant le très répandu réseau basé sur le protocole TCP/IP disponible aujourd’hui, a introduit un risque inattendu au niveau des systèmes ICS. Cette situation malheureusement ne changera pas. Nous devons tout simplement nous adapter à ce nouveau monde de la connectivité, et travailler ensemble pour s’assurer que nous réduirons le plus possible les risques, en définissant les standards pour les modèles de connectivité futurs, qui serviront de base solide en matière de cybersécurité.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Les systèmes ICS et SCADA sont-ils notre prochain cauchemar de l’Internet des Objets ? : http://wp.me/p2YJS1-320
Billet inspiré de Ensuring that ICS/SCADA isn’t our next IoT nightmare, par Chester Wisniewski, Sophos NakedSecurity.